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ROBERT BOSCH GMBH, 70442 Stuttgart 



Verfahren zur Absicherung sicherheitskritischer 
Programmteile vor versehentlicher Ausfiihrung und eine 
Speichereinrichtung zur Durchfuhrung dieses Verfahrens 

Die vorliegende Erfindung betrifft ein Verfahren zur 
Absicherung sicherheitskritischer Programmteile und eine 
Speichereinrichtung zur Durchflihrung dieses Verfahrens. 

Stand der Technik 

Die beispielsweise in Steuergeraten von Kraf t f ahrzeugen 
eingesetzte Software wird aufgrund der standig anwachsenden 
Anf orderungen immer komplexer. Dies und die zunehmend 
dif f erenzierteren Randbedingungen fuhren zu einer 
Auspragung verschiedenst er Betriebszustande des 
Sof twaresystems . 

Problematisch dabei ist, dass diese Betriebszustande 
teilweise in hochstem Mafte inkompatibel zueinander sind. 
Sind in ein und demselben Speicher Programmteile abgelegt, 
welche verschiedenen Betriebszustanden zugeordnet sind, 
kann ein versehentliches Ausfuhren eines Programmteils im 
falschen Betriebszustand zu einem sicherheitskrit ischen 
Verhalten fuhren. 



- 2 - 



R. 39828 



Ein Beispiel hierfur ist die Existenz einer Endlosschleif e , 
welche in Erwartung eines Abschaltens von Aufren Sinn machen 
kann, wahrend des normalen Programmablauf s jedoch niemals 
zur Ausfuhrung kommen darf. Wahrend der Ausfuhrung solcher 
5 Programmteile sind grundsat zliche Oberwachungsmechanismen, 
wie beispielsweise ein Hardware oder ein Software-Watchdog, 
abgeschaltet oder zumindest unwirksam gemacht. 

Eine vollstandige Vermeidung der Existenz solcher 
10 Programmstrukturen kann heute nicht mehr garantiert werden. 
Daher mussen diese Programmteile praktisch zu 100% gegen 
eine ver sehentliche Ausfuhrung abgesichert werden. 

Verfahren zum Verhindern der versehentlichen Veranderung 
15 von Speicherinhalten, insbesondere von Flash EEPROM- 
Speichern, sind verbreitet. 

Aus der DE 196 16 053 Al ist ein Verfahren zum Betreiben 
eines Steuergerats mit einer programmierbaren 
20 Speichereinrichtung bekannt. Die Programmierung der 
Speichereinrichtung erfolgt dabei unter 
auf einanderf olgender Ausfuhrung einer Vielzahl von 
Speicherprogrammierungs-Steuervorgangen . 

25 Dabei soli erreicht werden, dass ein durch Storungen 
ausgelostes und/oder beeinf lusstes Loschen und/oder 
Uberschreiben von in der programmierbaren 

Speichereinrichtung gespeicherten Daten auf einfache Weise 
weitestgehend auszuschlieBen ist. 



30^ 



Dies wird dadurch erreicht, dass ein Uberpriif ungsschritt , 
durch welchen feststellbar ist, ob alle ausgewahlten 
einzelnen oder mehreren der bis dahin aus zuf ilhrenden 
Spe icherprogr ammie rungs -St euervorgange ausgef uhrt wurden, 
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und ein Entscheidungsschritt, in welchem unter 
Berucksichtigung des Uberpriif ungsergebnisses entschieden 
wird, ob der Programmiervorgang unter Ausfuhrung weiterer 
Speicherprogrammier-Steuervorgange bestimmungsgemaU 
fortzusetzen ist, vorgesehen sind. 

So ist es moglich, zu jedsm beliebigen Zeitpunkt 
f estzustellen, ob die bis dahin auszuf uhrenden 
Steuervorgange auch tatsachlich ausgefuhrt wurden. 

Die EP 0 923 081 A2 beschreibt ein Verfahren zum 
Beschreiben und/oder Loschen eines Flash EEPROMs . 

Bei diesem entspricht eine Programmier- bzw. Loschspannung 
einer Lesespannung . Zum Unterscheiden der Programmier- bzw. 
Loschspannung von der Lesespannung sind die Programmier- 
bzw. Loschalgorithmen rtiit definierten Adressen und 
definierten Daten in einer definierten Reihenfolge 
abzuarbeiten. Die Programmier- bzw. Loschalgorithmen sind 
in einem dem Flash EEPROM logisch zugeordneten fluchtigen 
Speicher verlagert. 

Dadurch wird eine erhohte Sicherheit der in dem Flash 
EEPROM abgelegten Speicherinf ormat ionen gegeniiber 
zufalligem Uberschreiben bzw. Loschen erreicht. 

Eine durch zufalliges Beauf schlagen des Flash EEPROMs mit 
einer elektromagnetischen Entladung, durch 

Programmierf ehler, Hardwaref ehler und/oder Spannungspulse 
verursachte versehentliche Uberschreibung oder Loschung 
gespeicherten Inhalts wird vermieden. 

Weiterhin ist eine Ausf uhrungsf orm beschrieben, bei der die 
fur die Abarbeitung der Programmier- bzw. Loschalgorithmen 
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notwenciigen Adressinf ormationen und Dateninf ormationen erst 
durch ein externes Programmiergerat bereitgestellt werden. 

Vergleichbare Verfahren zur Absicherung beliebiger 
sicherheitskritischer Programmteile sind hingegen noch 
nicht bekannt. Hier setzt die Erfindung an. 

Vorteile der Erfindung 

Das erf indungsgemafie Verfahren dient zur Absicherung 
sicherheitskritischer Programmteile vor versehentlicher 
Ausfuhrung. Bei diesem wird ein Programm mit mindestens 
einem Programmteil mit vorgegebener zeitlicher Abfolge 
ausgefuhrt. Zu einem bestimmten Zeitpunkt der Ausfuhrung 
wird ein Muster erzeugt und zu mindestens einem spateren 
Zeitpunkt wird gepriift, ob das Muster vorhanden ist. Bei 
Fehlen des Musters wird die Ausfuhrung des betreffenden 
Programmteils abgebrochen . 

Als Muster kann ein einzelnes Bit, welches gesetzt wird, 
Oder auch ein Bitmuster verwendet werden. 

Bevorzugt wird das Muster in einem fluchtigen Speicher, 
z.B. einem RAM-Baustein, erzeugt. So ist sichergestellt , 
dass nach einem Programmstart ein bei einem friiheren 
Programmdurchlauf erzeugtes Muster wieder geloscht ist. 

Wichtig beim erf indungsgemafien Verfahren ist, dass bei der 
Ausfuhrung sicherheitskritischer Programmteile zumindest zu 
einem Zeitpunkt uberpruft wird, ob ein Muster vorhanden 
ist. Bei dessen Fehlen, weil beispielsweise aufgrund eines 
Fehlers der Programmzeiger in den sicherheitskritischen 
Bereich gesprungen ist, wird die Ausfuhrung des 
Programmteils abgebrochen. 
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Die erfindungsgemalie Speichereinrichtung zur Ausfuhrung des 
erf indungsgemafien Verfahrens ist in ein oder mehrere 
Bereiche aufgeteilt. Dabei ist in jedem Bereich ein 
Programmteil abgelegt . Der bzw. die Programmteile sind mit 
einem vorgegebenen zeitlichen Ablauf ausflihrbar. Die 
erf indungsgemafie Speichereinrichtung zeichnet sich dadurch 
aus, dass ein Mittel vorgesehen ist, welches bewirkt, dass 
bei der Ausfuhrung der Programmteile zu einem bestimmten 
Zeitpunkt ein Muster erzeugt wird, und wenigstens ein 
weiteres Mittel vorgesehen ist, welches bewirkt, dass zu 
einem spateren Zeitpunkt uberpruft wird, ob das Muster 
vorhanden ist. 

Das in der Speichereinrichtung abgelegte Program wird 
dabei mittels eines Mikroprozessor s abgearbeitet . 

Es ist von Vorteil, die Musterer zeugung zu einem moglichst 
fruhen Zeitpunkt durchzuf iihren . 

Aufterdem kann in der Speichereinrichtung eine 
Programmroutine vorgesehen sein, die ein Zurucksetzen des 
Prozessors (Reset) bewirkt. Bei einem fehlerfreien 
Durchlauf des Programms uberspringt der Programmzeiger 
diese Programmroutine. Springt der Programmzeiger aber 
aufgrund eines Fehlers in die Programmroutine, wird der 
Prozessor zuriickgeset zt . 

Als Speichereinrichtung zur Ausfuhrung des 
erf indungsgemaften Verfahrens werden zweckmaft igerweise 
geeignete Datentrager, wie EEPROMs , Flash Memories, aber 
auch CD-ROMs, Disketten oder Festplattenlauf wer ke 
verwendet . 
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Zeichnungen 

Die Erfindung wird nachfolgend anhand der beigefugten 
Zeichnung und unter Bezugnahme auf ein Ausfuhrungsbeispiel 
naher erlautert. In der Zeichnung zeigt: 

Figur 1 eine her kommliche Speichereinrichtung in 
schematischer Darstellung, 

Figur 2 eine bevorzugte Ausf uhrungsf orm der 

erf indungsgemaften Speichereinrichtung in 
schematischer Darstellung, und 

Figur 3 den Ablauf einer bevorzugten Ausf uhrungsf orm des 
erfindungsgemalien Verfahrens im Flussdiagramm. 

In Figur 1 ist in schematischer Darstellung eine 
her kommliche Speichereinrichtung 10 dargestellt. Die 
Speichereinrichtung 10 weist einen ersten Bereich 11 und 
einen zweiten Bereich 12 auf. Ein Pfeil 13 zeigt die 
Ausf uhrungsrichtung an. Im ersten Bereich 11 ist ein erster 
Programmteil 14 und im zweiten Bereich 12 ein zweiter 
Programmteil 15 enthalten. Aufterdem sind im zweiten Bereich 
12 Daten in einem Datenfeld 16 abgelegt. 

Der in der dargestellten Speichereinrichtung 10 vorgesehene 
zweite Programmteil 15 darf zu einem bestimmten Zeitpunkt 
(d. h. in einem bestimmten Betriebszustand) keinesfalls 
ausgefiihrt werden, da in diesem sicherheitskritische 
Routinen enthalten sind. 

Der erste Programmteil 14 und der zweite Programmteil 15 
sind so ausgelegt, daft der zweite Programmteil 15 direkt 
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vom ersten Programmteil 14 aufgerufen wird oder zumindest 
eine feste kausale Verkniipfung zwischen den beiden besteht. 

In Figur 1 sind ein erster kritischer Bereich 17 und ein 
zweiter kritischer Bereich 18 kenntlich -gemacht . Die 
kritischen Bereiche 17, 18 umfassen die Teile des 
Speichers, in welchen ein versehent liches Einspringen des 
Programmzeigers zu einer vollstandigen Ausfuhrung des 
sicherheitskritischen zweiten Programmteils 15 fiihren kann. 

Grunde fur den Umfang des kritischen Bereichs sind: 

1. Ein Einsprung des Programmzeigers in den ersten 
Programmteil 14 fuhrt direkt oder indirekt zu einer 
weiteren Ausfuhrung des zweiten Programmteils 15 und damit 
der sicherheitskritischen Routinen. 

2. Ein Einsprung des Programmzeigers in das Datenfeld 16 
fiihrt zunachst zu einer Ausfuhrung unsinniger Befehle 
(Daten als Opcode ), welche aber nicht notwendigerweise zu 
einem Riicksetzen des Prozessors (Reset) fiihren mussen. Es 
besteht daher die Moglichkeit, dass der Programmzeiger bis 
in den Bereich des ausfuhrbaren zweiten Programmteils 15 
weiterlauft und damit die sicherheitskritischen Routinen 
zur Ausfuhrung kommen. 

3. Der direkte Einsprung des Programmzeigers in den zweiten 
Programmteil 15 fuhrt zwangslaufig zu einer kompletten 
Ausfuhrung der sicherheitskritischen Routinen. Dies kann 
hier beispielsweise zu einer Ausfuhrung einer 
Endlosschleif e fiihren. Um dies zu verhindern, wird 

erf indungsgemaft f olgendermaften vorgegangen . 
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Ausf uhrungsbei spiel 

In Figur 2 ist eine er f indungsgemafte Speichereinrichtung 
mit der Bezugsziffer 20 schematisch dargestellt. 

Die erf indungsgemafte Speichereinrichtung 20 weist einen 
ersten Bereich 21 und einen zweiten Bereich 22 auf. Ein 
Pfeil 23 verdeutlicht die Ausf uhrungsrichtung . Im ersten 
Bereich 21 ist ein erster. Programmteil 24 und im zweiten 
Bereich 22 ein zweiter Programmteil 25 vorgesehen. Der 
zweite Programmteil enthalt wiederum sicherheit skritische 
Routinen . 

Weiterhin umfafit der zweite Bereich 22 ein Datenfeld 26.- 

Im ersten Bereich 21 ist ein erstes Mittel 27 vorgesehen, 
welches bewirkt, dass ein Muster erzeugt wird. Das erste 
Mittel 27 ist beispielsweise eine Programmroutine, welche 
ein Bit oder ein Bitmuster setzt. 

Entsprechend ist im zweiten Bereich 22 ein Mittel 28 
vorgesehen, welches eine Musterpruf ung durchfuhrt. Das 
zweite Mittel 28 ist z.B. eine Programmroutine, die 
uberpriift, ob das entsprechende Bit bzw. das Bitmuster 
gesetzt ist. 

Zusatzlich ist im zweiten Bereich 22 eine Programmroutine 
29 dargestellt, welche ein Zuruckset zen des Prozessors 
(Reset) bewirkt. 

Bei der erf indungsgemaften Speichereinrichtung 20 sind 
somit, wie nachfolgend erlautert wird, Maftnahmen getroffen, 
urn die versehentliche Ausfuhrung des sicherheitskrit ischen 
zweiten Programmteils 25 zu vermeiden. 
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Zunachst wird zu Beginn des ersten Programmteils 24 durch 
das erste Mittel 27 ein Muster im fluchtigen RAM erzeugt, 
welches fur die Ausfuhrung des zweiten Programmteils 25 
zwingend erforderlich ist. Ein Einsprung des 

Programmzeigers in den ersten Bereich 21 hinter dem ersten 
Mittel 27 fuhrt zunachst direkt oder indirekt zu einer 
weiteren Ausfuhrung des zweiten Programmteils 25. Die 
Ausfuhrung des zweiten Programmteils 25 wird jedoch 
aufgrund des fehlenden Musters, was durch die Uberprlifung 
mit dem Mittel 28 festgestellt wird, abgebrochen. Eine 
versehentliche Erzeugung des Musters ist nur moglich, wenn 
der Programmzeiger vor die Ausfuhrung der Erzeugung des 
Musters durch das erste Mittel 27 in den Programmablauf 
einspringt . 

Hieraus wird deutlich, dass das erste Mittel 27 das Muster 
bevorzugt zu einem moglichst fruhen Zeitpunkt in der 
Programmausf uhrung erzeugt . 

Ferner wird am physikalischen Beginn des zweiten Bereiches 
22, in welchem sich der sicherheitskrit ische zweite 
Programmteil 25 befindet, der Befehl zum Zurucksetzen des 
Prozessors (Reset) hinterlegt . Ein Einsprung des 
Programmzeigers in das' Datenfeld 26 fiihrt zunachst wie im 
ungeschutzten Fall zu einer Ausfuhrung unsinniger Befehle 
(Daten als Opcode), welche aber nicht notwendigerweise zu 
einem Zurucksetzen des Prozessors (Reset) fiihren mussen. Es 
besteht daher ebenfalls die Moglichkeit, dass der 
Programmzeiger weiterlauft. Bei Erreichen . der 
Programmroutine 29 wird dann zwangslaufig der Prozessor 
zuruckgeset zt und eine weitere Ausfuhrung des 
sicherheitskritschen zweiten Programmteils 25 vermieden. 
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Bei einem fehlerfreien Ablauf des Programms springt der 
Programmzeiger aus dem ersten Bereich 21 in den zweiten 
Bereich 22 hinter die Programmroutine 29. 

Weiterhin fiihrt der direkte Einsprung des Programmzeigers 
in den zweiten Bereich 22 zwangslaufig zu einer Ausfuhrung 
des nachf olgenden, sicherheitskritischen zweiten 
Programmteils 25 bis zur nachsten hinterlegten Priifung des 
erf orderlichen Musters. Da kein Muster an der Stelle 27 im 
Bereich 21 erzeugt wurde, wird die Ausfuhrung des 
sicherheitskritischen zweiten Programmteils 25 an dieser 
Stelle abgebrochen. 

Die Felder 30 und 31 verdeutlichen den kritischen Bereich r 
der sich im Vergleich zu den kritischen Feldern 17 und 18 
aus Figur 1 erheblich verringert hat. Die Felder 32 und 33 
zeigen den geschutzten Bereich, das Feld 34 den gegen 
wiederholte Ausfuhrung geschutzten Bereich. 

Werden bei der Musterpriif ung und der Musterer zeugung 
jeweils externe Randbedingungen (z. B. Zustande von 
Hardwarekomponenten) gepruft-, so kann die versehentliche 
Ausfuhrung des zweiten Programmteils 25 uber einen 
Einsprung in den ersten Bereich 21 sogar zu 100% verhindert 
werden. 

Soil beispielsweise die Ausfuhrung des ersten Programmteils 
24 und des zweiten Programmteils 25 von einer aufteren 
Bedingung abhangen, so wird zusatzlich diese Bedingung, 
beispielsweise ein Spannungswert, zusatzlich noch einmal 
uberpriif t . 

Figur 3 verdeutlicht den Ablauf des erf indungsgemalien 
Verfahrens im Flussdiagramm. 
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Mit einem Schritt 40 beginnt die Ausfuhrung des Programms. 
Der Programmzeiger springt in den ersten Bereich 27. 

In einem Schritt 41 wird ein Muster erzeugt. Der im ersten 
Bereich 21 abgelegte erste Programmteil 24 kommt zur 
Ausfuhrung. Nach Beendigung dieses Programmteils springt 
der Programmzeiger mit einem Schritt 42 in den zweiten 
Bereich 22. 

Im zweiten Bereich 22 wird in einem Schritt 43 der zweite 
Programmteil 25 ausgeflihrt und zusat zlich . zu 
unterschiedlichen Zeitpunkten uberpriift, ob das im ersten 
Bereich 21 erzeugte Muster im RAM abgelegt ist. 1st dies 
nicht der Fall, erfolgt der Abbruch des Programms 44. Liegt 
ein Muster vor, wie dies bei einem fehlerfreien Ablauf des 
Programms der Fall ist, wird das Programm in einem Schritt 
45 weiter ausgeflihrt. 

Mit Hilfe des erf indungsgemafien Verfahrens kann die 
Wahrscheinlichkeit der versehent lichen Ausfuhrung der 
sicherheitskritischen Programmteile und das daraus 
resultierende Fehlverhalten des Steuergerats in erheblichem 
Mafte, d. h. urn GroBenordnungen, reduziert werden. 

Das beschriebene Verfahren eignet sich vor allem zur 
Vermeidung der Ausfuhrung von sicherheitskritischen, 
zyklisch ausgefuhrten Programmteilen . Eine zyklische 
Ausfuhrung kann durch die Hinterlegung einer einzigen 
Prufung des relevanten Musters verhindert werden. 

Programmteile, welche auch bei einmaliger Ausfuhrung 
sicherheitskritisch sind, konnen durch mehrfache Prufung in 
moglichst kleine Teile zerlegt werden. 
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28.02.01 

ROBERT BOSCH GMBH, 70442 Stuttgart 



Anspruche 

1. Verfahren zur Absicherung sicherheitskritischer 

15 Programinteile vor versehentlicher Ausfuhrung, bei dem 

mindestens ein Progranunteil mit vorgegebenem zeitlichen 
Ablauf ausgefuhrt wird, 

dadurch gekennzeichnet, 
dass zu einem bestimmten Zeitpunkt der Ausftihrung ein 
20 Muster erzeugt wird und anschlieftend zumindest zu einem 
Zeitpunkt gepriift wird, ob das Muster vorhanden ist. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass 
das Muster zu Beginn der Programmausf iihrung erzeugt wird. 

25 

3. Verfahren nach Anspruch 1 oder 2, dadurch 
gekennzeichnet, dass das Muster in einem fliichtigen 
Speicherelement erzeugt wird. 

30 4. Verfahren nach einem der Anspruche 1 bis 3, dadurch 

gekennzeichnet, dass bei der Musterer zeugung und bei der 
Musterprufung jeweils externe Randbedingungen gepriift 
werden. 
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5. Verfahren nach Anspruch 4, dadurch gekennzeichnet , dass 
als externe Randbedingungen Zustande von 
Hardwarekomponenten dienen. 

6. Verfahren zur Absicherung von sicherheitskritischen 
Programmteilen, bei dem bei der Ausfuhrung eines 
sicherheitskritischen Programmteils zumindest zu einem 
Zeitpunkt iiberpruft wird, ob ein den ordnungsgemaBen Ablauf 
des Programms reprasentierendes Muster vorhanden ist, und 
bei dessen Fehlen die Ausfuhrung des Programmteils 
abgebrochen wird. 

7. Speichereinrichtung zur Ausfuhrung eines Verfahrens nach 
einem der Anspruche 1 bis 6 mittels eines Mikroprozessors, 
welche in einen oder mehrere Bereiche (21, 22) aufgeteilt 
ist, wobei in jedem Bereich ein Programmteil angelegt ist, 
und der mindestens eine Programmteil mit vorgegebenem 
zeitlichen Ablauf ausfuhrbar ist, dadurch gekennzeichnet, 
daft ein erstes Mittel (27) vorgesehen ist, welches bewirkt, 
dass bei der Ausfuhrung der Programmteile zu einem 
bestimmten Zeitpunkt ein Muster erzeugt wird und wenigstens 
ein weiteres zweites Mittel (28) vorgesehen ist, welches 
bewirkt, dass zu einem spateren Zeitpunkt iiberpruft wird, 
ob das Muster vorhanden ist. 

8. Speichereinrichtung nach Anspruch 7, gekennzeichnet 
durch ein Mittel, das ein Zurucksetzen des Prozessors 
bewirkt . 
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28.02.01 

ROBERT BOSCH GMBH, 70442 Stuttgart 



Verfahren zur Absicherung sicherheitskritischer 
Programmteile vor versehentlicher Ausfuhrung und eine 
Speichereinrichtung zur Durchf iihrung dieses Verfahrens 

Zusammenf as sung 

Es wird ein Verfahren zur Absicherung sicherheitskritischer 
Programmteile vor versehentlicher Ausfuhrung beschrieben. 

Bei diesem wird mindestens ein Programmteil mit 
vorgegebenem zeitlichen Ablauf ausgefuhrt. Zu einem 
bestimmten Zeitpunkt der Ausfuhrung wird ein Muster erzeugt 
und zu mindestens einem spateren Zeitpunkt gepruft, ob das 
Muster vorhanden ist, und bei Fehlen des Musters die 
Ausfuhrung des betreffenden Programmteils abgebrochen. 

Weiterhin wird eine Speichereinrichtung (20) zur Ausfuhrung 
eines solchen Verfahrens beschrieben. 



(Fig. 2) 
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